सुपर एडमिन के लिए सिंगल साइन-ऑन की सुविधा सिर्फ़ तब काम करती है, जब लेगसी एसएसओ प्रोफ़ाइल का इस्तेमाल किया जा रहा हो. साथ ही, यह सुविधा सिर्फ़ कुछ मामलों में काम करती है (नीचे देखें). यह नई एसएसओ प्रोफ़ाइलों के साथ काम नहीं करता.
सुपर एडमिन के ज़रिए एसएसओ की अनुमति देने के फ़ायदे और जोखिम, दोनों होते हैं. सभी उपयोगकर्ताओं (एडमिन भी शामिल हैं) को एसएसओ के ज़रिए पुष्टि करने की सुविधा देने से, उस जगह को कम किया जा सकता है जहां उपयोगकर्ता के क्रेडेंशियल मैनेज किए जाते हैं. हालांकि, अगर आपके IdP से समझौता किया जाता है, तो तीसरा पक्ष Google Admin console और आपके संगठन के खाते के हर पहलू को ऐक्सेस कर सकता है.
इस जोखिम को कम करने के लिए, अगर आपने सुपर एडमिन के लिए एसएसओ की सुविधा चालू की है, तो हमारा सुझाव है कि आप अपने IdP और Google, दोनों पर सुपर एडमिन के लिए दो चरणों में पुष्टि करने की सुविधा चालू करें.
सुपर एडमिन के एसएसओ को बंद करने का तरीका
सुपर एडमिन एसएसओ को बंद करने के लिए, एसएसओ प्रोफ़ाइल का नया वर्शन इस्तेमाल करें. लेगसी एसएसओ प्रोफ़ाइल से एसएसओ प्रोफ़ाइलों पर माइग्रेट करने के लिए, यह तरीका अपनाएं.
सुपर एडमिन कब एसएसओ से साइन इन कर सकते हैं
लेगसी एसएसओ प्रोफ़ाइल का इस्तेमाल करने पर, सुपर एडमिन इन मामलों में एसएसओ (SSO) से साइन इन कर सकते हैं:
- डोमेन की खास सेवाओं से जुड़े यूआरएल सेटिंग को इस तरह सेट किया गया है कि उपयोगकर्ताओं को तीसरे पक्ष के आईडीपी (IdP) पर अपने-आप भेज दिया जाए.
- जब सुपर एडमिन के साइन-इन की प्रोसेस, IdP शुरू करता है (IdP-initiated SSO).
- अगर कोई सुपर एडमिन, Google में साइन इन करने के लिए शुरुआत में नॉन-सुपर एडमिन खाते का इस्तेमाल करता है. इसके बाद, IdP पर रीडायरेक्ट किए जाने पर, सुपर एडमिन के क्रेडेंशियल देता है. इस मामले में, Google, IdP से सुपर एडमिन की पहचान की पुष्टि करने का दावा स्वीकार करेगा.
जब सुपर एडमिन, एसएसओ का इस्तेमाल करके साइन इन नहीं कर पाते
लेगसी एसएसओ प्रोफ़ाइल का इस्तेमाल करने पर भी, सुपर एडमिन इन मामलों में एसएसओ से साइन इन नहीं कर सकते:
Admin console
जब सुपर एडमिन, एसएसओ की सुविधा वाले किसी डोमेन में admin.google.com के ज़रिए साइन इन करने की कोशिश करते हैं, तो उन्हें अपने Google एडमिन खाते का पूरा ईमेल पता और उससे जुड़ा Google पासवर्ड डालना होता है. उन्हें एसएसओ का उपयोगकर्ता नाम और पासवर्ड नहीं डालना होता है. इसके बाद, उन्हें साइन इन करें पर क्लिक करना होता है, ताकि वे सीधे Admin console को ऐक्सेस कर सकें. Google उन्हें एसएसओ (SSO) साइन-इन पेज पर रीडायरेक्ट नहीं करता है.
Google Drive सिंक क्लाइंट
जब सुपर एडमिन, Google Drive के सिंक्रनाइज़ेशन क्लाइंट में साइन इन करते हैं, तो वे एसएसओ (SSO) को बायपास कर देते हैं. Google उन्हें एसएसओ (SSO) साइन-इन पेज पर रीडायरेक्ट नहीं करता है. यह ब्राउज़र, मोबाइल ऐप्लिकेशन (जैसे कि iOS Drive और Gmail ऐप्लिकेशन), Android खाते को चालू करने के फ़्लो वगैरह से साइन इन करने की कोशिशों पर लागू होता है.